Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NOMBRE INSTITUCIÓN
Esta guía permite a la Institución seguir la implementación de buenas prácticas para los procesos
establecidos en el Marco Normativo de Gobierno y Gestión de las TI, basadas en el Marco de
Referencia Cobit 2019
INSTRUCTIVO
Acceso a Índice Relación Procesos de la Norma con los Objetivos de Gobierno y Gestión
NOMBRE INSTITUCIÓN
A través de estos enlaces, podrá dirigirse directamente a los objetivos de gobierno y de gestión según aplique,
que aplican a cada uno de los procesos establecidos en el Marco Normativo
Instructivo
Gobernanza de TI
EDM01 Asegurar el establecimiento y el mantenimiento del marco de Gobierno
EDM03 Asegurar la optimización del riesgo
EDM05 Asegurar el compromiso de las partes interesadas
APO08 Gestionar las relaciones
Gestión de TI
APO01 Gestionar el marco de gestión de I&T
APO09 Gestionar los acuerdos de servicio
DSS02 Gestionar las peticiones y los incidentes de servicio
DSS03 Gestionar los problemas
Planificación Tecnológica Institucional
APO02 Gestionar la estrategia
EDM02 Asegurar la obtención de beneficios
APO04 Gestionar la innovación
APO05 Gestionar el portafolio
APO06 Gestionar el presupuesto y los costos
Gestión de Riesgos Tecnológicos
EDM03 Asegurar la optimización del riesgo
APO12 Gestionar el riesgo
Arquitectura Empresarial
APO03 Gestionar la arquitectura empresarial
EDM04 Asegurar la optimización de los recursos
BAI09 Gestionar los activos
APO14 Gestionar los datos
Calidad de los Procesos Tecnológicos
APO11 Gestionar la calidad
Recursos Humanos
APO07 Gestionar los recursos humanos
Contratación y Adquisición de Bienes y Servicios Tecnológicos
APO10 Gestionar los proveedores
Gestión de Proyectos que implementan Recursos tecnológicos
BAI01 Gestionar los programas
BAI11 Gestionar los proyectos
Desarrollo, Implementación y Mantenimiento de sistema de Información
BAI02 Gestionar la definición de requisitos
BAI03 Gestionar la identificación y construcción de soluciones
BAI04 Gestionar la disponibilidad y capacidad
BAI05 Gestionar el cambio organizativo
BAI06 Gestionar los cambios de TI
BAI07 Gestionar la aceptación y la transición de los cambios de TI
BAI08 Gestionar el conocimiento
Seguridad y Ciberseguridad
APO13 Gestionar la seguridad
DSS05 Gestionar los servicios de seguridad
DSS06 Gestionar los controles de procesos de negocio
Administración Infraestructura Tecnológica
APO03 Gestionar la arquitectura empresarial
BAI09 Gestionar los activos
BAI10 Gestionar la configuración
DSS01 Gestionar las operaciones
Continuidad y Disponibildiad Operativa de los Servicios Tecnológicos
DSS04 Gestionar la continuidad
Aseguramiento
MEA01 Gestionar el monitoreo del desempeño y la conformidad
MEA02 Gestionar el sistema de control interno
MEA03 Gestionar el cumplimiento delos requerimientos externos
MEA04 Gestionar el aseguramiento
Regresar al Inicio
Regresar al Inicio
Matriz Guía para la implementación de buenas prácticas basadas en el Marco de Referencia Cobit 2019
INSTRUCTIVO
Indicadores de Gestión: Todas los indicadores que permitan lograr el cumplimiento de la Práctica de Gestión o Gobierno
Fecha de conclusión de la práctica: Se completa de acuerdo con la ruta crítica de las fechas de conclusión de las actividades
Riesgo asociados: Se incluyen todos aquellos riesgos que pueden afectar el logro de la práctica de gobierno o gestión.
Prioridad de Implementación: Sugerencia del orden en el que se deben implementar los Objetivos y prácticas, estableciendo tres etapas,
para poder cumplirlas en un período máximo de dos años.
Porcentaje de avance (actividad): 100% concluida, % del avance cuando está en proceso, 0% en estado no iniciado
Funcionarios responsables: Nombre del funcionario y oficina donde se ubica dicho funcionario, cuando es un Comité se indica el nombre y
los funcionarios que lo conforman y las oficinas que representan
Fecha de control: Si ya terminó la actividad esta fecha es la de cierre, si esta en proceso se indica la fecha de cuando se va a concluir dicha
actividad y si no se ha iniciado se indica la fecha en la que se espera completar la actividad
Documentación de referencia: todos los documentos que respaldan el cumplimiento o avance de la actividad
Observaciones: Cualquier aspecto que facilite la comprensión del desarrollo de la actividad
Regresar a Inicio
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Número de principios guía definidos para el gobierno y la toma de decisiones de I&T
b. Número de altos ejecutivos implicados en establecer el rumbo del gobierno para I&T
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Grado en el cual los principios de gobierno de I&T acordados son evidentes en procesos y prácticas (porcentaje de procesos y prácticas que se
atribuyen a los principios)
b. Frecuencia de presentación de informes del gobierno de I&T al comité ejecutivo y el consejo de administración
c. Número de roles, responsabilidades y autoridades para el gobierno de I&T que son definidos, asignados y aceptados por los directivos de negocio e
I&T correspondientes.
a. Grado en el cual los principios de gobierno de I&T acordados son evidentes en procesos y prácticas (porcentaje de procesos y prácticas que se
atribuyen a los principios)
b. Frecuencia de presentación de informes del gobierno de I&T al comité ejecutivo y el consejo de administración
c. Número de roles, responsabilidades y autoridades para el gobierno de I&T que son definidos, asignados y aceptados por los directivos de negocio e
I&T correspondientes.
Indicadores Asociados: a. Ciclo de vida real vs. objetivo para decisiones clave
b. Frecuencia de revisiones independientes del gobierno de I&T
c. Nivel de satisfacción de la parte interesada (medido a partir de encuestas)
d. Número de problemas de gobierno de I&T comunicados
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar la eficacia y el rendimiento de aquellas partes
2 interesadas a las que
Evaluar de forma se le ha
periódica delegado
si los la responsabilidad
mecanismos y
de I&T que se
autoridad
han acordadopara(estructuras,
el gobierno institucional de I&T etc.) se
3 Evaluar la eficacia del diseñoprincipios, procesos,
de gobierno e identificar
han establecido
acciones para y operan
rectificar de forma eficiente que se
cualquier
4 Mantener la supervisión de hasta desviación
qué punto la I&T
encuentrelas obligaciones (regulación, legislación, leyes
satisface
5 Proporcionar la supervisión de la eficacia del sistema de
comunes,decontractuales), y elpolíticas internas,
conestándares y
6 control
Monitorizar lalos
empresa
mecanismos
guías profesionales
cumplimiento el mismo
regulares y rutinarios para
garantizar que el uso de I&T cumpla con las obligaciones
(regulación, legislación, leyes comunes, contractuales),
estándares y guías
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Número de nuevas oportunidades institucionales logradas como resultado directo de los desarrollos de I&T
b. Porcentaje de objetivos empresariales estratégicos obtenidos como resultado de iniciativas estratégicas de I&T
c. Nivel de satisfacción de la dirección ejecutiva con el costo y la entrega de valor de I&T
d. Nivel de satisfacción de las partes interesadas con el avance hacia las metas identificadas (entrega de valor basada en encuestas).
e. Nivel de satisfacción de las partes interesadas con la capacidad de la institución para obtener valor de las iniciativas habilitadas por I&T
f. Número de incidentes que tienen lugar debido a la evasión actual o intentada de los principios y prácticas de gestión de valor establecidos
g. Porcentaje logrado del valor esperado
NOMBRE INSTITUCIÓN
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Conocer la organización y su contexto en relación al riesgo
de I&T
2 Determinar el apetito al riesgo de la organización, es decir,
el nivel de riesgo relacionado con I&T que la instituciónestá
dispuesta a tomar en la búsqueda de sus objetivos
institucionales.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Dirigir la traducción e integración de la estrategia de riesgo
de I&T en las prácticas de gestión de riesgos y las
actividades operativas.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Comunicar cualquier problema de gestión de riesgos al
consejo de administración o comité ejecutivo.
2 Supervisar hasta qué punto se gestiona el perfil de riesgo
dentro de los umbrales de tolerancia y apetito de riesgo de
la empresa.
3 Monitorear las metas y métricas de los procesos de
gobierno y gestión de riesgos contra los objetivos, analizar
la causa de las posibles desviaciones, y poner en marcha las
acciones remediales para solucionar las causas
subyacentes.
NOMBRE INSTITUCIÓN
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Número de desviaciones de, y excepciones con respecto a los principios de gestión de recursos
b. Porcentaje de reutilización de componentes de la arquitectura
Fecha Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Asignar responsabilidades para la ejecución de la gestión de
recursos
2 Establecer los principios relacionados con la protección de
los recursos
3 Comunicar y dirigir la adopción de estrategias de gestión de
recursos, principios y del plan de recursos y arquitectura
empresarial acordados.
Indicadores Asociados: a. Nivel de retroalimentación de las partes interesadas sobre la optimización de recursos
b. Número de beneficios (como ahorro de costes) logrados a través de la utilización óptima de los recursos
c. Número de objetivos de rendimiento en gestión de recursos logrados
d. Porcentaje de proyectos y programas con un estatus de medio o alto riesgo debido a problemas de gestión de recursos
e. Porcentaje de proyectos con asignaciones de recursos adecuadas
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 - Evaluar el compromiso y los requisitos de reportes de las partes interesadas
Práctica de Gobierno (gestión): 02 - Dirigir el compromiso, la comunicación y reporte de las partes interesadas
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Dirigir el establecimiento de la estrategia de consulta y
comunicación para las partes interesadas externas e
internas
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Número de aprobaciones formales por estructuras de gobierno aplicable de los objetivos prioritarios para el sistema de gestión de I&T
b. Porcentaje de los componentes de gobierno integrados y alineados con el gobierno, filosofía de gestión y estilo operativo de la institución.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Adquirir el conocimiento de la visión, dirección y estrategia
institucional, así como el contexto institucional actual y sus
desafíos.
Práctica de Gobierno (gestión): APO01.02 Gestionar la comunicación de objetivos, dirección y decisiones tomadas.
Indicadores Asociados: a. Frecuencia de comunicación de los objetivos y dirección de gestión para I&T
b. Asignación de responsabilidad para el envío de comunicaciones regulares
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Proporcionar los recursos capacitados suficientes para
respaldar el proceso de comunicación.
2 Definir las reglas básicas de comunicación, identificando las
necesidades de comunicación e implementando planes
basados en dichas necesidades, considerando la
comunicación ascendente, descendente y horizontal.
Práctica de Gobierno (gestión): 03 Gestionar la implementación de procesos (para respaldar la consecución de objetivos de gobierno y gestión).
Indicadores Asociados: a. Número de procesos prioritarios que deben implementarse o mejorarse para cumplir con el nivel de capacidad objetivo
b. Número de métricas definidas para el seguimiento de la implementación satisfactoria del proceso
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar las decisiones requeridas para la consecución de
resultados institución.riales y la estrategia de I&T y para la
gestión y ejecución de los servicios de I&T.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer, acordar y comunicar los roles y
responsabilidades relacionadas con I&T a todo el personal
de la institución., de acuerdo con las necesidades y
objetivos de la institución. Delinear claramente las
responsabilidades y la rendición de cuentas, especialmente
para la toma de decisiones y aprobaciones.
Práctica de Gobierno (gestión): APO01.07 Definir la propiedad de la información (datos) y del sistema de información.
Indicadores Asociados: a. Porcentaje de activos de datos con Dueños claramente definidos
b. Porcentaje de sistemas de información con Dueños claramente definidos
c. Porcentaje de elementos de información clasificados conforme a los niveles de clasificación acordados
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Proporcionar las directrices para garantizar la clasificación
adecuada y consistente de los elementos de información
en toda la institución.
2 Crear y mantener un inventario de información (sistemas y
datos) que incluyan una lista de Dueños, custodios y
clasificaciones. Incluir sistemas que sean externalizados y
aquellos cuya propiedad debería estar dentro de la
institución..
Práctica de Gobierno (gestión): 10 Definir e implementar la infraestructura, servicios y aplicaciones para respaldar el sistema de gobierno y gestión.
Indicadores Asociados: a. Número de herramientas seleccionadas para respaldar procesos prioritarios
b. Adecuación/cobertura de las herramientas de procesos de I&T claves
c. Satisfacción de los destinatarios con la precisión, integridad y puntualidad de la información
d. Porcentaje de satisfacción de las partes interesadas con las herramientas seleccionadas para respaldar sus necesidades
Fecha Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
1 Identificar objetivos de gestión prioritarios que podrían Implementación
lograrse mediante la automatización de servicios,
aplicaciones o infraestructura.
Práctica de Gobierno (gestión): 11 Gestionar la mejora continua del sistema de gestión de I&T.
Indicadores Asociados: a. Fecha de las últimas actualizaciones al marco y a los componentes
b. Número de exposiciones a pérdidas relacionadas con las I&T debidas a insuficiencias en el diseño del entorno de control
Fecha Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
1 Evaluar de forma regular el rendimiento de los Implementación
componentes del marco y llevar a cabo las acciones
correspondientes.
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Comprender el contexto y la dirección de la institución.
2 Desarrollar y mantener un conocimiento de la forma actual
de trabajo, incluido el entorno en el que opera, la
arquitectura institucional (dominios del negocio, la
información, los datos, las aplicaciones y la tecnología), la
cultura de la institución y los retos actuales.
Práctica de Gobierno (gestión): 02 Evaluar las capacidades, rendimiento y madurez digital actual de la empresa.
Indicadores Asociados: a. Número de procesos prioritarios que deben implementarse o mejorarse para cumplir con el nivel de capacidad objetivo
b. Porcentaje de objetivos de I&T que apoyan la estrategia institucional
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Resumir el contexto y la dirección de la institución e
identificar aspectos de I&T específicos de la estrategia
institucional (como procesos de digitalización,
implementación de nueva tecnología, soporte de la
arquitectura legacy, aplicación de nuevos modelos de
negocio digital, desarrollo de portafolio de producto
digitales, etc.).
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar todas las brechas y cambios requeridos para
lograr el entorno objetivo.
2 Describir los cambios de alto nivel en la arquitectura
institucional (dominios del negocio, la información, los
datos, las aplicaciones y la tecnología).
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir las iniciativas requeridas para eliminar las brechas
entre los entornos actual y el objetivo. Integrar las
iniciativas en una estrategia de I&T coherente que alinee a
la I&T con todas las facetas institucionales.
2 Detallar una hoja de ruta que defina los pasos
incrementales requeridos para lograr las metas y objetivos
de la estrategia de I&T. Garantizar
que se incluyan acciones para formar al personal en nuevas
habilidades, apoyar la adopción de nueva tecnología,
mantener el cambio en toda
la organización, etc.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar un plan de comunicación que cubra los
mensajes, el público objetivo, los mecanismos/canales de
comunicación y la programación de actividades requeridas.
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar a las partes interesadas clave y sus
preocupaciones/objetivos. Definir los requisitos clave de la
institución que deben abordarse, así como las
visualizaciones de la arquitectura que deben desarrollarse
para satisfacer los requisitos de las partes interesadas.
Indicadores Asociados: a. Fecha de la última actualización de las arquitecturas de dominio y/o federadas
b. Número de excepciones a los estándares y referencias de la arquitectura solicitadas y concedidas
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Mantener un repositorio de arquitectura, que contiene
estándares, componentes reutilizables, los artefactos de
modelado, las relaciones, las dependencias y las
visualizaciones, para permitir la uniformidad de la
organización y mantenimiento de la arquitectura.
Indicadores Asociados: a. Número de brechas identificadas en los modelos institucionales de los dominios de arquitectura del negocio, la información, los datos, la aplicación y
la tecnología
b. Porcentaje de partes interesadas clave del negocio y de TI para evaluar la disposición de transformación de la institución, e identificar oportunidades,
soluciones y todas las restricciones de implementación
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Determinar y confirmar atributos de cambios
institucionales clave. Considerar la cultura de la institución,
el impacto potencial de la cultura en la
implementación de la arquitectura y las capacidades de
transición de la institución.
Indicadores Asociados: a. Nivel de retroalimentación del cliente sobre los servicios de arquitectura
b. Porcentaje de proyectos que utilizan el marco y la metodología para reutilizar componentes definidos
c. Porcentaje de proyectos que utilizan servicios de arquitectura empresarial
d. Los beneficios del proyecto obtenidos que pueden atribuirse a la participación de la arquitectura (p. ej., reducción de costes mediante la reutilización)
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Confirmar el alcance y las prioridades y proporcionar
directrices para desarrollar e implementar soluciones (p.
ej., usando la arquitectura orientada a los servicios).
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Percepciones y retroalimentación de las partes interesadas de la empresa respecto a la innovación en I&T
b. Inclusión de objetivos relacionados con la innovación o tecnología emergente en los objetivos de rendimiento para el personal relevante
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Porcentaje de iniciativas implementadas con un claro vínculo a un objetivo empresarial
b. Porcentaje de oportunidades habilitadas por nuevas tecnologías identificadas
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Mantener un conocimiento de los motivadores
empresariales y de industria, la estrategia empresarial y de
I&T y las operaciones empresariales y retos
actuales. Aplicar el entendimiento para identificar posibles
tecnologías de valor agregado e innovar en I&T
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Entender el apetito y potencial de la empresa en cuanto a
innovación tecnológica. Centrar los esfuerzos de
concienciación en las innovaciones tecnológicas más
oportunas.
Práctica de Gobierno (gestión): 04 Evaluar el potencial de las tecnologías emergentes y las ideas de innovación.
Indicadores Asociados: a. Porcentaje de iniciativas implementadas que logran los beneficios previstos
b. Porcentaje de iniciativas de pruebas de concepto exitosas para poner a prueba tecnologías emergentes u otras ideas de innovación
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Captar las lecciones aprendidas y las oportunidades de
mejora.
2 Garantizar que las iniciativas de innovación estén alineadas
con la estrategia empresarial y de I&T. Monitorizar
continuamente el alineamiento. Ajustar el plan de
innovación, si fuera necesario.
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Proporción entre los fondos asignados y los fondos utilizados
b. Proporción entre los ingresos retenidos y los fondos asignados
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Entender la disponibilidad y el compromiso actual de
fondos, el gasto real aprobado y el gasto real hasta la fecha.
Indicadores Asociados: a. Porcentaje de proyectos en el portafolio de proyectos de I&T que pueden atribuirse directamente a la estrategia de I&T
b. Porcentaje de unidades de negocio involucradas en el proceso de evaluación y priorización
Práctica de Gobierno (gestión): 03 Monitorizar, optimizar e informar sobre el rendimiento del portafolio de inversión.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Revisar regularmente el portafolio para identificar y
explotar sinergias, eliminar la duplicación entre programas,
e identificar y mitigar el
riesgo.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Crear y mantener portafolios de programas de inversión
habilitados por I&T, servicios prestados por I&T y activos de
I&T, que forman la base para el presupuesto de I&T actual
y respaldan los planes tácticos y estratégicos de I&T.
Indicadores Asociados: a. Porcentaje de cambios del programa de inversiones reflejados en los portafolios relevantes de I&T.
b. Porcentaje de partes interesadas satisfechas con los esfuerzos para monitorizar los beneficios de ofrecer y mantener productos de I&T apropiados,
basándose en el caso de negocio acordado y vigente.
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Número de desviaciones entre las categorías presupuestarias esperadas y reales.
b. Utilidad de la información financiera como información para casos de negocio para nuevas inversiones en activos y servicios de I&T.
Indicadores Asociados: a. Número de desviaciones entre las categorías presupuestarias esperadas y reales
b. Utilidad de la información financiera como información para casos de negocio para nuevas inversiones en activos y servicios de I&T
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir procesos, entradas, salidas y responsabilidades para
la gestión y contabilidad financiera de I&T en línea con el
presupuesto y las políticas y estrategia de contabilidad de
costes de la empresa. Definir cómo analizar e informar (a
quién y cómo) sobre el proceso de control presupuestario
de I&T.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Clasificar todas las iniciativas y solicitudes de presupuesto
de I&T con base en los casos de negocio y las prioridades
estratégicas y tácticas. Establecer procedimientos para
determinar la asignación de presupuesto y los puntos de
corte.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 Adquirir y mantener una dotación de personal suficiente y adecuada.
Indicadores Asociados: a. Porcentaje de trabajos críticos en los que la empresa depende de un único individuo.
b. Número de planes de respaldo de personal realizados.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Como precaución de seguridad, proporcionar directrices
sobre un tiempo mínimo de vacaciones anuales que
tomarán las personas clave.
Indicadores Asociados: a. Identificar habilidades y competencias clave que no se encuentren en la matriz de recursos.
b. Número de brechas identificadas entre las habilidades requeridas y las disponibles.
c. Número de programas de capacitación proporcionados.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar las habilidades y competencias disponibles
actuales, tanto de recursos internos como externos.
2 Identificar las brechas entre las habilidades requeridas y las
disponibles Desarrollar planes de acción, como
capacitación (habilidades técnicas y de conducta),
contratación, reasignación y cambio de las estrategias de
abastecimiento, para resolver las brechas desde el punto
de vista individual y colectivo.
Indicadores Asociados: a. Número de momentos de retroalimentación oficial y evaluaciones de 360 grados realizadas.
b. Número y valor de las recompensas otorgadas al personal.
Práctica de Gobierno (gestión): 05, Planificar y hacer seguimiento del uso de los recursos humanos del negocio y de TI.
Indicadores Asociados: a. Número de carencias identificadas y habilidades ausentes a la hora de planificar el personal
b. Tiempo utilizado por cada empleado a tiempo completo (FTE) en trabajos y proyectos
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Crear y mantener un inventario de recursos humanos
empresariales y de TI.
2 Entender la demanda actual y futura de recursos humanos
para contribuir a lograr los objetivos de I&T y ofrecer
servicios y soluciones conforme al portafolio de iniciativas
relacionadas con I&T, al portafolio de inversión futura y
necesidades operativas diarias.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Tasa de inclusión de las oportunidades tecnológicas en las propuestas de inversión
b. Encuesta sobre el nivel de conocimiento tecnológico de las partes interesadas del negocio
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Posicionar TI como un socio del negocio Jugar un papel
proactivo a la hora de identificar y comunicarse con partes
interesadas clave acerca de oportunidades, riesgo y
limitaciones. Entre ellos se incluyen tecnologías
emergentes, servicios y modelos de procesos empresariales
actuales.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Asignar un gestor de relaciones como un único punto de
contacto para cada unidad de negocio significativa.
Asegurar que se identifique una única contraparte en la
organización de la empresa y que la contraparte entienda
el negocio, conozca suficientemente la tecnología y tenga
el nivel de autoridad adecuado.
Indicadores Asociados: a. Tiempo transcurrido desde la última actualización del plan de comunicación para toda la empresa
b. Porcentaje de satisfacción del dueño de negocio con la coordinación de la prestación íntegra de servicios y soluciones de I&T
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Coordinar y comunicar los cambios y actividades de
transición como planes de cambios o proyectos,
calendarios, políticas de liberación, errores conocidos en la
liberación y capacitación de sensibilización.
Práctica de Gobierno (gestión): 05 Proporcionar aportes para la mejora continua de los servicios.
Indicadores Asociados: a. Porcentaje de servicios de I&T alineados con los requisitos de negocio de la empresa
b. Porcentaje de las causas raíz identificadas y resueltas para todos los problemas
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Realizar análisis de satisfacción para clientes y proveedores.
Asegurar que se resuelvan los problemas; informar de los
resultados y el estado.
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Número de actividades empresariales que no reciben el apoyo de ningún servicio de I&T
b. Número de servicios obsoletos identificados
Indicadores Asociados: a. Porcentaje de servicios activos habilitados por I&T y paquetes de servicio ofrecidos en comparación con el portafolio
b. Tiempo transcurrido desde la última actualización del portafolio de servicios.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Publicar en catálogos los servicios activos importantes ,
paquetes de servicios y opciones de nivel de servicio
habilitados por TI desde el portafolio.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Analizar los requisitos para acuerdos de servicio nuevos o
modificados recibidos de la gestión de relaciones con el
negocio a fin de asegurar que puedan satisfacerse.
Considerar aspectos como los tiempos de servicio,
disponibilidad, rendimiento, capacidad, seguridad,
privacidad, continuidad, problemas de cumplimiento y
regulatorios, usabilidad, limitaciones de la demanda y
calidad de los datos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Revisar de forma regular los acuerdos de servicio conforme
a los términos acordados para garantizar que sean efectivos
y estén actualizados. Cuando corresponda, tener en cuenta
cambios en requisitos, servicios habilitados por I&T,
paquetes de servicio y opciones de nivel de servicio.
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 Identificar y evaluar los contratos y las relaciones con los proveedores.
Indicadores Asociados: a. Porcentaje de criterios de evaluación definidos logrados para los proveedores externos y contratos vigentes
b. Porcentaje de proveedores externos alternativos que proporcionan servicios equivalentes a contratos de proveedores externos vigentes
Indicadores Asociados: a. Número de brechas identificadas entre las ofertas del proveedor seleccionado y las necesidades señaladas en la solicitud de propuesta (RFP)
b. Porcentaje de partes interesadas satisfechas con los proveedores.
Práctica de Gobierno (gestión): 03 Gestionar los contratos y las relaciones con los proveedores.
Indicadores Asociados: a. Porcentaje de terceros proveedores que tienen contratos que definen los requisitos de control
b. Número de disputas formales con proveedores.
c. Número de reuniones de revisión con los proveedores.
d. Porcentaje de disputas resueltas amistosamente en un plazo razonable.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
1 Asignar dueños de relaciones para todos los proveedores y Implementación
hacerles que rindan cuentas de la calidad del servicio(s)
proporcionado(s).
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Asegurar que el marco de control de I&T y los procesos
2 empresariales y de TI,
Definir roles, tareas incluyen una
y derechos estrategia
de decisión y estándar,
formal y continua con
responsabilidades para respecto
la gestióna la gestión de la
encalidad
3. Obtener
que está insumos
alineada de
con lalos
dirección yde
requisitos
lapartes
lasde calidad
la
la
interesadas
empresa. Dentro
estructura
externas e organizativa.
internas sobre la definición de los requisitos de
4 del marco de control de I&T y los procesos
Gestionar y revisar regularmente el SGC frente a los
calidad ydelosaceptación
empresariales
criterios criterios
y de TI,de gestión de
identificar
acordados. la calidad.
losIncluir
requisitos y criterios de
retroalimentación
5 Responder
calidad a las discrepancias
(p. ej. conforme con de los resultados de la
de los clientes,
revisión para usuarios
mejorar y los requisitos
continuamente
legales y los
el SGC.
requisitos
dirección. de los clientes).
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Enfocar la gestión de la calidad en los clientes para
determinar los requisitos del cliente interno y externo y
asegurar el alineamiento de los estándares y las prácticas
de I&T. Definir y comunicar los roles y responsabilidades
relacionados con la resolución de conflictos entre el
usuario/cliente y la organización de TI.
Práctica de Gobierno (gestión): 03, Gestionar los estándares, prácticas y procedimientos de calidad e integrar la gestión de la calidad en los procesos y soluciones clave.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir los estándares, prácticas y procedimientos de
gestión de la calidad en línea con los requisitos del marco
de control de I&T y los criterios y políticas de gestión de la
calidad empresariales.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Establecer una plataforma para compartir buenas prácticas
y captar información sobre los defectos y errores para
permitir el aprendizaje a partir de ellos.
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Número de eventos de pérdida con características clave capturados en repositorios.
b. Porcentaje de auditorías, eventos y tendencias capturados en repositorios.
c. Porcentaje de sistemas críticos con problemas conocidos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir el alcance adecuado de los esfuerzos en análisis de
riesgos, considerando todos los factores de riesgo y/o la
criticidad de los activos para el negocio.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Hacer un inventario de los procesos de negocio y
documentar su dependencia con los procesos de gestión de
servicios de I&T y los recursos de infraestructura de TI.
Identificar el personal de apoyo, aplicaciones,
infraestructura, instalaciones, registros manuales críticos,
contratistas, proveedores, y terceros.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Informar sobre los resultados del análisis de riesgo a todas
las partes interesadas afectadas en términos y formatos
útiles para soportar las decisiones empresariales. Siempre
que sea posible, incluir las probabilidades y rangos de
pérdidas o ganancias, junto con los niveles de confianza,
para permitir que la gerencia haga balance del retorno del
riesgo.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
1 Mantener un inventario de las actividades de control que
se han implantado para mitigar el riesgo y que permiten
que se tomen riesgos alineados con el apetito y la
tolerancia al riesgo. Clasificar las actividades de control y
asignarlas a escenarios de riesgos de I&T específicos y
escenarios de riesgos de I&T agregados.
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 Establecer y mantener un sistema de gestión de seguridad de la información (SGSI).
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas con el plan de seguridad en toda la empresa
Práctica de Gobierno (gestión): 02 Definir y gestionar un plan de tratamiento de riesgos de seguridad de la información y privacidad.
Práctica de Gobierno (gestión): 03 Monitorizar y revisar el sistema de gestión de seguridad de la información (SGSI).
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 Definir y comunicar la estrategia y los roles y responsabilidades de la gestión de datos de la organización.
Indicadores Asociados: a. Número de violaciones de gestión de datos comparado con la estrategia definida
b. Porcentaje de roles y responsabilidades identificadas para respaldar el gobierno de la gestión de datos y la interacción entre gobierno y la función de gestión de datos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Establecer una función de gestión de los datos con
responsabilidad de gestionar las actividades que respalden
los objetivos de gestión de los datos.
Indicadores Asociados: a. Nivel de aceptación y frecuencia del uso de términos del glosario empresarial en toda la organización.
b. Número de sinónimos para la terminología del glosario de negocio definido que se usan en nuevos esfuerzos de desarrollo.
c. Nivel de granularidad de los términos definidos en el glosario empresarial
Práctica de Gobierno (gestión): 03 Establecer los procesos y la infraestructura para la gestión de metadatos.
Indicadores Asociados: a. Número de esfuerzos de mejora de la calidad de los datos identificados y registrados en un plan secuencial
b. Porcentaje de partes interesadas satisfechas con la calidad de los datos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir una estrategia de calidad de los datos en
colaboración con las partes interesadas empresariales y
tecnológicas, aprobada y gestionada por la dirección
ejecutiva. La estrategia debería favorecer pasar del estado
actual al objetivo. También debe alinearse de forma
explícita con los objetivos empresariales y la estrategia de
gestión de datos de la organización.
Práctica de Gobierno (gestión): 05 Establecer las metodologías, procesos y herramientas para la creación de perfiles de datos.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Número de problemas identificados en los resultados de evaluaciones de la calidad de los datos.
b. Número de resultados de evaluaciones de la calidad de los datos que incluyen recomendaciones para su remediación
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Número de requisitos de los consumidores de datos que no pueden correlacionarse con una fuente de datos.
b. Número de conjuntos de datos compartidos.
c. Tiempo transcurrido desde la última comprobación de cumplimiento con relación a la asignación de los procesos empresariales a los datos
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Asignar y alinear los requisitos de los consumidores y
productores de datos.
2 Definir las relaciones entre el proceso empresarial y los
datos. Mantenerlas y revisarlas periódicamente para su
cumplimiento.
Práctica de Gobierno (gestión): 10 Gestionar los acuerdos de toma de copia de seguridad y restauración de datos.
Indicadores Asociados: a. Porcentaje de intentos fallidos para hacer una copia de seguridad (backup) de datos
b. Porcentaje de intentos satisfactorios para hacer una restauración de un backup de datos.
3.
Establecer una programación para probar el backup de
datos.. Asegurar que los datos puedan restaurarse de
forma correcta sin un impacto
drástico en el negocio.
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Mantener y hacer cumplir una estrategia estándar de
gestión de programas, alineada con el entorno específico de
la empresa y con buenas prácticas, basadas en procesos
definidos y al uso apropiado de la tecnología. Asegurar que
la estrategia cubra todo el ciclo de vida y las disciplinas a
seguir, incluida la gestión del alcance de , recursos, riesgo,
coste, calidad, tiempo, comunicación, participación de las
partes interesadas, adquisiciones, control de cambio,
integración y obtención de beneficios.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
Página 86
1 Acordar el patrocinio del programa. Nombrar un consejo de
administración/comité de programas con los miembros que
tienen un interés estratégico en el programa,
responsabilidad en la toma de decisiones de inversión, que
se verán impactados de forma significativa por el programa
y que deberán facilitar que se produzca el cambio.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Planificar cómo las partes interesadas dentro y fuera de la
empresa se identificarán, analizarán, comprometerán y
gestionarán durante el ciclo de vida de los proyectos.
Página 87
Práctica de Gobierno (gestión): 04 - Desarrollar y mantener el plan del programa.
Indicadores Asociados: a.Frecuencia de revisiones de estado del programa que no satisfacen los criterios de valor
b.Porcentaje de programas activos llevados a cabo sin mapas de valor del programa válidas y actualizadas
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Especificar la financiación, coste, calendario e
interdependencias de múltiples proyectos.
2 Definir y documentar el plan del programa que cubre todos
los proyectos. Incluir lo necesario para introducir cambios
en la empresa; su propósito, misión, misión, valores, cultura,
productos y servicios; procesos de negocio; habilidades y
número de empleados; relaciones con las partes
interesadas, clientes, proveedores y otros; necesidades
tecnológicas y restructuración organizativa requerida para
lograr los resultados empresariales esperados del programa.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Planificar, distribuir y encargar los proyectos necesarios
requeridos para lograr los resultados del programa,
conforme a la revisión y aprobaciones de financiación en
cada revisión de cambio de fase.
Página 88
2 Gestionar cada programa o proyecto para asegurar que la
toma de decisiones y las actividades generadas se centran
en el valor mediante la obtención de beneficios para el
negocio y la consecución de metas de forma consistente,
abordando el riesgo y cumpliendo con los requisitos de las
partes interesadas.
Práctica de Gobierno (gestión): 06 - Monitorizar, controlar y reportar sobre los resultados del programa.
Indicadores Asociados: a.Porcentaje de beneficios de programas esperados y logrados
b.Porcentaje de programas para los cuales se monitorizo el rendimiento y la acción remedial oportuna se llevó a cabo cuando fue necesario
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Actualizar los portafolios operativos de I&T para reflejar los
cambios que resulten del programa en los portafolios de
servicios, activos y recursos de I&T
Página 89
5 Gestionar el rendimiento del programa con respeto a
criterios clave (p. ej., alcance, calendario, calidad, obtención
de beneficios, costes, riesgo, velocidad), identificar las
desviaciones del plan y llevar a cabo las acciones correctivas
oportunas cuando se precise.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar las tareas y prácticas de aseguramiento
requeridas para respaldar la acreditación de sistemas
nuevos o modificados durante la planificación del programa
e incluirlos en los planes integrados. Asegurar que las tareas
proporcionen aseguramiento de que los controles internos y
las soluciones de seguridad/privacidad satisfacen los
requisitos definidos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Establecer una estrategia de gestión de riesgos formal
alineada con el marco de gestión de riesgos empresariales
(ERM). Asegurar que la estrategia incluya la identificación,
análisis, respuesta, mitigación, monitorización y control del
riesgo.
Página 90
2 Asignar a personal con habilidades adecuadas la
responsabilidad de ejecutar el proceso de gestión de riesgos
empresariales dentro de un programa y asegurar que esto
se incorpore a las prácticas de desarrollo de soluciones.
Considerar asignar este rol a un equipo independiente,
sobre todo si se requiere un punto de vista objetivo o si un
programa se considera crítico.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Cerrar el programa de forma ordenada, incluida la
aprobación formal, disolución de la organización del
programa y soporte de la función, validación de entregables
y comunicación de la retirada.
Página 91
Regresar a Inicio
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 - Definir y mantener los requisitos funcionales y técnicos del negocio
Indicadores Asociados: a.Porcentaje de requisitos reelaborados debido a la falta de alineación con las necesidades y expectativas de la empresa
b.Porcentaje de los requisitos validados a través de enfoques como revisión realizada por colegas, validación del modelo o construcción de prototipos operativos
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Garantizar que todos los requisitos de las partes
interesadas, incluidos los criterios de aceptación relevantes
se consideren, capten, prioricen y registren de forma que
sean comprensibles para todas las partes interesadas,
reconociendo que los requisitos podrían cambiar y ser más
detallados conforme se implementen.
Página 92
7 Hacer un seguimiento y control del alcance, requisitos y los
cambios durante todo el ciclo de vida de la solución, a
medida que evoluciona la comprensión de la solución.
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad Implementable Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar las acciones requeridas para la adquisición o
desarrollo de soluciones conforme a la arquitectura
empresarial. Tener en cuenta las limitaciones de alcance y/o
plazo y/o presupuesto.
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar el riesgo de requisitos de calidad, funcionales y
técnica (debido, por ejemplo, a la falta de participación del
usuario, expectativas poco realistas, a los desarrolladores
añadiendo una funcionalidad innecesaria, hipótesis poco
realistas, etc.).
Página 93
3 Analizar el riesgo identificado estimando su probabilidad y
su impacto en el presupuesto y en el calendario. Evaluar el
impacto en el presupuesto de las adecuadas acciones de
respuesta al riesgo.
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad Implementable Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Planificar, distribuir y encargar los proyectos necesarios
requeridos para lograr los resultados del programa,
conforme a la revisión y aprobaciones de financiación en
cada revisión de cambio de fase.
Página 94
3 Establecer las fases acordadas del proceso de desarrollo
(puntos de comprobación del desarrollo). Al final de cada
fase, facilitar debates formales de criterios aprobados con
las partes interesadas. Después de la conclusión exitosa de
la revisión de la funcionalidad, rendimiento y calidad, y
antes de finalizar las actividades de la etapa, obtener una
aprobación y aceptación formal de todas las partes
interesadas y del dueño del proceso negocio/patrocinador.
Práctica de Gobierno (gestión): 06 - Monitorizar, controlar y reportar sobre los resultados del programa.
Indicadores Asociados: a.Porcentaje de beneficios de programas esperados y logrados
b.Porcentaje de programas para los cuales se monitorizo el rendimiento y la acción remedial oportuna se llevó a cabo cuando fue necesario
Página 95
5 Gestionar el rendimiento del programa con respeto a
criterios clave (p. ej., alcance, calendario, calidad, obtención
de beneficios, costes, riesgo, velocidad), identificar las
desviaciones del plan y llevar a cabo las acciones correctivas
oportunas cuando se precise.
Página 96
2 Asignar a personal con habilidades adecuadas la
responsabilidad de ejecutar el proceso de gestión de riesgos
empresariales dentro de un programa y asegurar que esto
se incorpore a las prácticas de desarrollo de soluciones.
Considerar asignar este rol a un equipo independiente,
sobre todo si se requiere un punto de vista objetivo o si un
programa se considera crítico.
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad Implementable Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Cerrar el programa de forma ordenada, incluida la
aprobación formal, disolución de la organización del
programa y soporte de la función, validación de entregables
y comunicación de la retirada.
Página 97
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer una especificación de diseño de alto nivel que
traslade la solución propuesta a un diseño de alto nivel para
los procesos de negocio, los servicios que los soportan,
flujos de trabajo, aplicaciones, infraestructura y repositorios
de información capaces de satisfacer los requisitos del
negocio y de la arquitectura empresarial.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 98
1 Diseñar progresivamente las actividades del proceso de
negocio y los flujos de trabajo que deben realizarse junto
con el nuevo sistema de aplicación para satisfacer los
objetivos empresariales, incluido el diseño de las actividades
de control manual.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Dentro de un entorno separado, desarrollar el diseño
detallado propuesto para los procesos de negocio, servicios
de soporte, aplicaciones, infraestructura y repositorios de
información.
Página 99
2 Cuando los terceros están involucrados con el desarrollo de
soluciones, garantizar que el mantenimiento, soporte,
estándares de desarrollo y el licenciamiento se aborda y se
cumple con las obligaciones contractuales.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Crear y mantener un plan para la adquisición de
componentes de la solución. Considerar su flexibilidad
futura para las nuevas incorporaciones de capacidad, los
costes de transición, el riesgo y las actualizaciones durante
la vida del proyecto.
Fecha
Estado Porcentaje Fecha de
* Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir un plan de aseguramiento de la calidad, incluidos,
por ejemplo, la especificación de los criterios de calidad,
procesos de validación y verificación, definición sobre cómo
se revisará la calidad, cualificaciones necesarias de los
revisores de la calidad, y roles y responsabilidades para
lograr la calidad.
Página 101
2 Supervisar frecuentemente la calidad de la solución
conforme a los requisitos del proyecto, políticas
empresariales, cumplimiento de las metodologías de
desarrollo, procedimientos de gestión de calidad y criterios
de aceptación.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Crear un plan integrado de prácticas y pruebas que se
corresponda con el entorno empresarial y los planes
estratégicos de tecnología. Asegurar que el plan integrado
de prácticas y pruebas permita la construcción de entornos
de pruebas y simulación adecuados para ayudar a
comprobar que la solución funcione correctamente en el
entorno real y entregue los resultados deseados, y que los
controles sean adecuados.
Página 102
Práctica de Gobierno (gestión): 08 - Ejecutar las pruebas de la solución
Indicadores Asociados: a. Número de errores encontrados durante la prueba
b. Tiempo y esfuerzo para completar las pruebas
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Llevar a cabo las pruebas de soluciones y sus componentes,
conforme al plan de pruebas. Incluir probadores
independientes del equipo de la solución, con dueños del
proceso de negocio y usuarios finales representativos.
Asegurar que las pruebas se realicen solo dentro de los
entornos de pruebas y desarrollo.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar el impacto de todas las peticiones de cambio
durante el desarrollo de la solución, el caso de negocio
original y el presupuesto. Clasificarlas y priorizarlas
conforme sea necesario.
Página 103
3 Aplicar solicitudes de cambio, manteniendo la integridad de
la combinación y configuración de los componentes de la
solución. Evaluar el impacto de cualquier actualización
mayor de la solución y clasificarla conforme a los criterios
objetivos acordados (por ejemplo, requisitos de la empresa),
según el resultado del análisis de riesgos (como el impacto
en los sistemas y procesos actuales o la
seguridad/privacidad), la justificación del coste-beneficio y
otros requisitos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar y ejecutar un plan para mantener los
componentes de la solución. Incluir revisiones periódicas
frente a las necesidades del negocio y los requisitos
operativos, como gestión de parches, estrategias de
actualización, riesgo, privacidad, análisis de vulnerabilidades
y requisitos de seguridad.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 104
1 Proponer definiciones de los productos y servicios de TI
nuevos o modificados para asegurar que cumplan con su
propósito. Documentar las definiciones propuestas que se
desarrollarán en la lista del portafolio de productos y
servicios.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Analizar y evaluar el impacto de elegir una metodología de
desarrollo (es decir, en cascada, Agile, bimodal) sobre los
recursos disponibles, los requisitos de la arquitectura, los
ajustes de la configuración y la rigidez del sistema.
Página 105
Regresar a Inicio
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 -Evaluar la disponibilidad, rendimiento y capacidad actuales, y crear una línea de referencia
Indicadores Asociados: a. Porcentaje de uso real de la capacidad
b. Porcentaje de disponibilidad real
b. Porcentaje de rendimiento real
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer una especificación de diseño de alto nivel que
traslade la solución propuesta a un diseño de alto nivel para
los procesos de negocio, los servicios que los soportan,
flujos de trabajo, aplicaciones, infraestructura y repositorios
de información capaces de satisfacer los requisitos del
negocio y de la arquitectura empresarial.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 106
1 Identificar solo aquellas soluciones o servicios que sean
críticos en el proceso de gestión de capacidad y
disponibilidad.
Práctica de Gobierno (gestión): 03 - Planificar los requisitos de los servicios nuevos o modificados
Indicadores Asociados: a. Número de actualizaciones no planificadas de capacidad, rendimiento o disponibilidad
b. Porcentaje comparaciones realizadas por la dirección sobre la demanda actual de recursos contra la oferta y demanda estimadas
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar las implicaciones en la disponibilidad y capacidad
de las necesidades cambiantes del negocio y de las
oportunidades de mejora. Usar técnicas de modelamiento
para validar los planes de disponibilidad, rendimiento y
capacidad.
Página 107
5 Ajustar los planes de rendimiento y capacidad y los SLA con
base en los cambios en los procesos de negocio, servicios de
soporte, aplicaciones e infraestructura realistas, nuevos,
propuestos y/o proyectados. Incluir también revisiones del
uso real de la capacidad y del rendimiento, incluidos los
niveles de carga de trabajo.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Proporcionar informes de capacidades a los procesos de
presupuesto
2 Establecer un proceso de recopilación de datos para
proporcionar a la dirección información de monitorización e
informes sobre la disponibilidad, el rendimiento y la carga
de trabajo de capacidad de todos los recursos relacionados
con I&T.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Obtener directrices de los manuales de producto de los
proveedores para garantizar un nivel adecuado de
disponibilidad de rendimiento durante los picos en las
cargas de trabajo y procesamiento.
Página 108
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar el alcance e impacto de los cambios visualizados, las
partes interesadas afectadas, la naturaleza del impacto y la
participación requerida de cada grupo de interés, además
de la disposición y capacidad real para adoptar el cambio.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 109
1 Identificar y conformar a un equipo eficaz de
implementación principal que incluya a los miembros
adecuados del negocio y TI con la capacidad para dedicar la
cantidad de tiempo requerida y contribuir con su
conocimiento y especialidad, experiencia, credibilidad y
autoridad.
Considerar la inclusión de personal externo, como
consultores, para que proporcionen un punto de vista
independiente y para abordar las brechas de habilidades.
Identificar los posibles agentes de cambio dentro de las
distintas partes de la empresa con las que el equipo
principal puede trabajar para respaldar la visión y los
cambios en cascada.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar un plan de comunicación de la visión para
respaldar a los grupos de audiencia principales, sus perfiles
de comportamiento y necesidades de información, canales
de comunicación y principios.
Práctica de Gobierno (gestión): 04 - Facultar a los roles participantes e identificar las ganancias a corto plazo
Indicadores Asociados: a. Nivel de satisfacción de los roles participantes con la operación, uso y mantenimiento del cambio
b. Porcentaje de roles participantes capacitados
c. Porcentaje de roles participantes con autoridad adecuada asignada
d. Retroalimentación de los roles participantes sobre el nivel de empoderamiento
e. Autoevaluación de los roles participantes sobre las capacidades relevantes
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Planificar las oportunidades de capacitación que necesitará
el personal para desarrollar las habilidades y actitudes
necesarias para sentirse empoderados.
Página 110
2 Identificar, priorizar y ofrecer oportunidades de ganancias
rápidas. Éstas podrían estar relacionadas con áreas
conocidas de dificultad o factores externos reales que
deben abordarse de forma urgente.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar un plan para la operación y uso del cambio. El
plan debería comunicar y construir a partir de las ganancias
rápidas obtenidas, abordar, en términos globales, aspectos
culturales y de comportamiento de la transición e
incrementar el compromiso y la participación. Asegurar que
el plan cubre una visión holística del cambio y que
proporciona documentación (p. ej. procedimientos),
asesoría, capacitación, tutoría, transferencia de
conocimientos, soporte para el mejoramiento continuo
inmediatamente después de su implantación.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Sostener y reforzar el cambio a través de comunicación
regular que demuestre el compromiso de la alta dirección.
Página 111
2 Proporcionar asesoría, capacitación, tutoría y transferencia
de conocimientos al personal nuevo para sostener el
cambio.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Hacer que los dueños de los procesos rindan cuentas sobre
las operaciones normales diarias.
2 Celebrar los éxitos e implementar programas de
reconocimiento y recompensas para reforzar el cambio.
3 Proporcionar concienciación continua a través de la
comunicación regular del cambio y su adopción.
4 Usar sistemas de medición del rendimiento para identificar
las causas raíz de la baja adopción. Emprender acciones
correctivas
Página 112
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Usar solicitudes de cambio formales para permitir a los
propietarios de los procesos de negocio y a TI solicitar
cambios a procesos de negocio, infraestructura, sistemas o
aplicaciones. Asegurarse de que todos estos cambios surjan
solo a través del proceso de gestión de solicitudes de
cambio.
Página 113
6 Planificar y evaluar todas las solicitudes de una manera
estructurada. Incluir un análisis de impacto en los procesos
de negocio, la infraestructura, los sistemas y las
aplicaciones, los planes de continuidad del solicitado.
Considerar también las interdependencias entre los
cambios. Involucrar a los propietarios de los procesos de
negocio en el proceso de evaluación, cuando sea
conveniente.solicitado. Considerar también las
interdependencias entre los cambios. Involucrar a los
propietarios de los procesos de negocio en el proceso de
evaluación, cuando sea conveniente.negocio (BCP) y los
proveedores de servicios para asegurarse de que se hayan
identificado todos los componentes afectados. Evaluar la
probabilidad de afectar negativamente el entorno operativo
y el riesgo de implementar el cambio. Considerar las
implicaciones de seguridad, privacidad, legales,
contractuales y de cumplimiento del cambio
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Definir lo que constituye un cambio de emergencia.
2 Asegurar que existe un procedimiento documentado para
declarar, evaluar, aprobar inicialmente, autorizar después
del cambio y registrar un cambio de emergencia.
Página 114
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Categorizar las solicitudes de cambio en el proceso de
seguimiento (p. ej., rechazado; aprobado pero no iniciado;
aprobado y en proceso; y cerrado).
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Incluir los cambios en la documentación en el
procedimiento de gestión. Algunos ejemplos de
documentación son: procedimientos operativos de negocio
y de TI, documentación de continuidad del negocio y
recuperación ante desastres, información de configuración,
documentación de aplicaciones, pantallas de ayuda y
materiales de capacitación.
Página 115
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Usar solicitudes de cambio formales para permitir a los
propietarios de los procesos de negocio y a TI solicitar
cambios a procesos de negocio, infraestructura, sistemas o
aplicaciones. Asegurarse de que todos estos cambios surjan
solo a través del proceso de gestión de solicitudes de
cambio.
Página 116
6 Planificar y evaluar todas las solicitudes de una manera
estructurada. Incluir un análisis de impacto en los procesos
de negocio, la infraestructura, los sistemas y las
aplicaciones, los planes de continuidad del solicitado.
Considerar también las interdependencias entre los
cambios. Involucrar a los propietarios de los procesos de
negocio en el proceso de evaluación, cuando sea
conveniente.solicitado. Considerar también las
interdependencias entre los cambios. Involucrar a los
propietarios de los procesos de negocio en el proceso de
evaluación, cuando sea conveniente.negocio (BCP) y los
proveedores de servicios para asegurarse de que se hayan
identificado todos los componentes afectados. Evaluar la
probabilidad de afectar negativamente el entorno operativo
y el riesgo de implementar el cambio. Considerar las
implicaciones de seguridad, privacidad, legales,
contractuales y de cumplimiento del cambio
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Definir un plan de migración del proceso de negocio, de los
datos de servicios y de la infraestructura de I&T. En el
desarrollo del plan, considerar, por ejemplo, el hardware,
las redes, los sistemas operativos, el software, los datos de
transacción, los archivos maestros, las copias de seguridad y
archivos, las interfaces con otros sistemas (internos y
externos), los posibles requisitos de cumplimiento, los
procedimientos de negocio y la documentación del sistema.
Página 117
4 Planificar la retención de los datos de copias de seguridad y
archivados de acuerdo con las necesidades del negocio y los
requisitos de cumplimiento o regulatorios.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar y documentar el plan de pruebas, que esté
alineado con el programa, el plan de calidad del proyecto y
los estándares organizativos relevantes. Comunicar y
consultar con los dueños del proceso de negocio y las partes
interesadas de TI apropiadas.
Página 118
4 Asegurar que el plan de pruebas identifique los recursos
necesarios para ejecutar las pruebas y evaluar los
resultados. Algunos ejemplos de recursos pueden ser la
construcción de entornos de pruebas y el uso del tiempo del
personal para el grupo de pruebas, incluida la posible
sustitución temporal del personal de pruebas en los
entornos de producción o desarrollo. Asegurar que se
consulta a las partes interesadas sobre las implicaciones del
plan de pruebas.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
Página 119
1 Crear una base de datos de pruebas que sea representativa
del entorno de producción. Borrar en forma segura los
datos usados en el entorno de pruebas y que vienen del
entorno de producción, conforme a las necesidades de
negocio y los estándares organizativos. Por ejemplo,
considerar si los requisitos de cumplimiento o regulatorios
obligan al uso de borrado seguro de datos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Revisar la categorización del log de errores encontrados por
el equipo de desarrollo en el proceso de pruebas.
Comprobar que todos los errores se han solucionado o
aceptado formalmente.
Página 120
4 Garantizar que se llevan a cabo pruebas de los cambios
conforme al plan de pruebas. Asegurar que las pruebas han
sido diseñadas y ejecutadas por un grupo de pruebas,
independiente del equipo de desarrollo. Considerar hasta
qué punto están incluidos los dueños de los procesos de
negocio y los usuarios finales en el grupo de pruebas.
Asegurar que las pruebas se realicen solo dentro del
entorno de pruebas.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 121
1 Prepararse para la transferencia de procedimientos del
negocio y servicios de soporte, aplicaciones e
infraestructura desde el entorno de pruebas al entorno de
producción conforme a los estándares de gestión de
cambios organizativos.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 1. Proporcionar recursos adicionales, cuando se requiera, a
los usuarios finales y personal de soporte hasta que se
estabilice la liberación.
Página 122
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer procedimientos para garantizar que las revisiones
post-implementación identifiquen, evalúen e informen
sobre en qué medida han ocurrido los eventos siguientes:
los requisitos de la empresa se han riesgos clave se han
mitigado; y los procesos de gestión de cambios, instalación y
acreditación se han realizado de forma eficaz y
eficiente.cumplido; los beneficios esperados se han logrado;
el sistema se considera utilizable; las expectativas de las
partes interesadas se han cumplido; han ocurrido impactos
inesperados en la empresa; los
Página 123
Regresar a Inicio
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 - Identificar y clasificar las fuentes de información para el gobierno y la gestión de I&T
Indicadores Asociados: a. Porcentaje de información clasificada validada
b. Porcentaje de pertinencia de los tipos de contenido, artefactos e información estructurada y no estructurada
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar usuarios con conocimiento potenciales, incluidos
dueños de información que tal vez deban contribuir y
aprobar el conocimiento. Obtener requisitos de
conocimiento y fuentes de información de los usuarios
identificados.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar atributos compartidos y relacionar sus fuentes de
información , con la creación de relaciones entre los
conjuntos de información (etiquetado de la información).
Página 124
2 Crear vistas de conjuntos de datos relacionados,
considerando los requisitos organizativos y de las partes
interesadas.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer expectativas de gestión y demostrar la actitud
adecuada en cuanto a la utilidad del conocimiento y la
necesidad de compartir el conocimiento relacionado con el
gobierno y la gestión de la I&T de la empresa.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir los controles para la retirada de conocimientos y
proceder a su retirada como corresponda.
2 Evaluar la utilidad, relevancia y valor de los elementos del
conocimiento. Actualizar la información desactualizada que
podría seguir siendo relevante y valiosa para la
organización. Identificar la información relacionada que ya
no es relevante para los requisitos de conocimiento de la
empresa y retirarla o archivarla conforme a la política.
Página 125
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar todos los activos adquiridos en un registro de
activos que recoja el estado actual. Los activos se reportan
en la hoja del balance; se compran o crean para aumentar el
valor de una compañía o beneficiar las operaciones de la
empresa (p. ej. hardware y software). Identificar todos los
activos adquiridos y mantener el alineamiento con los
procesos de gestión de la configuración y gestión de
cambios, el sistema de gestión de la configuración y los
datos de contabilidad financiera.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
Página 126
1 Identificar activos que son críticos para proporcionar la
capacidad de servicio mediante la referencia a los requisitos
en las definiciones de servicio, los SLA y el sistema de
gestión de la configuración.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Proporcionar todos los activos conforme a las solicitudes
aprobadas y las políticas y prácticas de adquisición de la
empresa.
Página 127
2 Obtener, recibir, verificar, probar y registrar todos los
activos de forma controlada, incluyendo etiquetas físicas,
cuando se requiera.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Revisar regularmente toda la base de activos, considerando
si está alineada con las necesidades del negocio.
Página 128
6 Revisar el estado general a fin de identificar oportunidades
para aprovechar las tecnologías emergentes o estrategias
de suministro alternativas para reducir costes o incrementar
la relación calidad-precio.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Mantener un registro de todas las licencias de software
adquiridas y los acuerdos de licencias asociados.
2 Realizar regularmente una auditoría para identificar todas
las instancias de software con licencia instaladas.
3 Comparar el número de licencias instaladas con el número
de licencias adquiridas. Garantizar que el método de
medición de cumplimiento de licencias sea conforme a los
requisitos de la licencia y del contrato.
Página 129
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir y acordar el alcance y nivel de detalle sobre la
gestión de la configuración (es decir, qué elementos
configurables de servicios, activos e infraestructura incluir).
Práctica de Gobierno (gestión): 02 - Establecer y mantener un repositorio de configuración y una línea de referencia.
Indicadores Asociados: a. Número de elementos de configuración (CI) listados en el repositorio
b. Porcentaje de precisión sobre las líneas de referencia de la configuración de un servicio, aplicación o infraestructura
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar y clasificar CIs y poblar el repositorio.
2 Crear, revisar y acordar formalmente las líneas de referencia
de la configuración de un servicio, aplicación o
infraestructura.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar los cambios de estado de los CIs y compararlos
con las líneas de referencia.
2 Relacionar todos los cambios de configuración con las
solicitudes de cambio aprobadas para identificar los
cambios no autorizados. Informar sobre cambios no
autorizados a los gestores de cambios.
Página 130
3 Identificar los requisitos de reporte de todas las partes
interesadas, incluyendo el contenido, la frecuencia y el
medio. Producir informes conforme a los requisitos
identificados.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar un plan de proyecto que proporcione
información para permitir a la dirección controlar su
progreso de forma progresiva. El plan debería incluir
detalles de los entregables y los criterios de aceptación del
proyecto, recursos y responsabilidades internos y externos
requeridos, estructuras de división del trabajo y paquetes
de trabajo claros, estimaciones sobre los recursos
requeridos, plan / fases de hitos/liberaciones, dependencias
clave, presupuesto y costes e identificación de una ruta
crítica.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 131
1 Comprobar periódicamente los elementos de configuración
reales con respecto al repositorio de configuración,
mediante comparación de las configuraciones físicas y
lógicas y el uso de herramientas de descubrimiento
adecuadas, conforme sea necesario.
Página 132
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Mantener y hacer cumplir una estrategia estándar de
gestión de proyectos, alineada con el entorno específico de
la empresa y con las buenas prácticas, conforme a procesos
definidos y al uso de la tecnología correcta. Asegurar que la
estrategia cubra todo el ciclo de vida y las disciplinas a
seguir, incluida la gestión del alcance, recursos, riesgo,
coste, calidad, tiempo, comunicación, involucramiento de
las partes interesadas, adquisiciones, control de cambio,
integración y obtención de beneficios.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
Página 133
1 Crear un entendimiento común sobre el alcance del
proyecto entre las partes interesadas, proporcionarles una
clara declaración por escrito que defina la naturaleza, el
alcance y los entregables de cada proyecto.
Fecha
Estado Porcentaje Fecha de
Actividad requisitos y las respuestas al riesgo enumerados
Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Planificar cómo las partes interesadas dentro y fuera de la
organización se identificarán, analizarán, involucrarán y
gestionarán durante el ciclo de vida del proyecto.
Página 134
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar un plan de proyecto que proporcione
información para permitir a la dirección controlar su
progreso de forma progresiva. El plan debería incluir
detalles de los entregables y los criterios de aceptación del
proyecto, recursos y responsabilidades internos y externos
requeridos, estructuras de división del trabajo y paquetes
de trabajo claros, estimaciones sobre los recursos
requeridos, plan / fases de hitos/liberaciones, dependencias
clave, presupuesto y costes e identificación de una ruta
crítica.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Para proporcionar el aseguramiento de la calidad de los
entregables del proyecto, identificar la propiedad y las
responsabilidades, procesos de revisión de la calidad,
criterios de éxito y métricas de rendimiento.
Página 135
4 Realizar actividades de aseguramiento y control de calidad
conforme al plan de gestión de calidad y el SGC.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Establecer una estrategia formal de gestión de riesgos de
proyectos alineada con el marco de gestión de riesgos
empresariales (ERM). Asegurar que la estrategia incluya la
identificación, análisis, respuesta, mitigación,
monitorización y control del riesgo.
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Establecer y usar una serie de criterios de proyecto
incluidos, pero no limitados a, el alcance, beneficio
esperado para el negocio, calendario, calidad, coste y nivel
de riesgo.
Página 136
2 Informar a las partes interesadas identificadas clave acerca
del progreso del proyecto, desviaciones con respecto a los
criterios clave de rendimiento del proyecto establecidos
(como, pero no limitado a, los beneficios empresariales
esperados), y posibles efectos positivos y negativos en el
proyecto.
Práctica de Gobierno (gestión): 07 -Gestionar los recursos del proyecto y los paquetes de trabajo
Indicadores Asociados: a. Número de problemas de recursos (p. ej., habilidades, capacidad)
b. Número de roles, responsabilidades y prerrogativas del gestor del proyecto, personal asignado y otras partes involucradas, claramente definidas
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar las necesidades de recursos del negocio y de TI
para el proyecto y asignar roles y responsabilidades
adecuados, con escalamiento, y autoridad para la toma de
decisiones acordadas y comprendidas.
Página 137
2 Identificar las habilidades y tiempo requeridos por todos los
individuos involucrados en las fases del proyecto con
relación a los roles definidos. Asignar personal a los roles
conforme a la información de habilidades disponibles (p. ej.,
matriz de habilidades de TI).
Práctica de Gobierno (gestión): 08 -Gestionar los recursos del proyecto y los paquetes de trabajo
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas expresado en la revisión de cierre del proyecto
b. Porcentaje de resultados con aceptación en primera instancia
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar las necesidades de recursos del negocio y de TI
para el proyecto y asignar roles y responsabilidades
adecuados, con escalamiento, y autoridad para la toma de
decisiones acordadas y comprendidas.
Página 138
Práctica de Gobierno (gestión): 09 -Cerrar un proyecto o iteración
Indicadores Asociados: a. Nivel de satisfacción de las partes interesadas expresado en la revisión de cierre del proyecto
b. Porcentaje de resultados con aceptación en primera instancia
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Obtener la aceptación de las partes interesadas para los
entregables del proyecto y transferir la propiedad.
2 Definir y aplicar los pasos claves para el cierre del proyecto,
incluidas las revisiones post-implementación que evalúan si
un proyecto ha alcanzado los resultados deseados.
Página 139
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Desarrollar y mantener los procedimientos operativos y las
actividades relacionadas para respaldar todos los servicios
prestados.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso
Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Asegurar que los requisitos de los procesos de seguridad de
la información de la empresa cumplan con los contratos y
SLA de hosting de terceros o proveedores de servicios.
Página 140
3 Integrar los procesos de gestión de TI internos críticos con
los de los proveedores de servicios externalizados. Esto
debería cubrir, por ejemplo, la planificación de rendimiento
y capacidad, gestión del cambio, gestión de la configuración,
solicitud de servicios y gestión de
incidentes, gestión de problemas, gestión de la seguridad,
continuidad del negocio y monitorización del rendimiento y
reporte del proceso.
Indicadores Asociados: a. Porcentaje de tipos de eventos operativos críticos cubiertos por sistemas de detección automática
b. Porcentaje de activos de infraestructura monitorizados conforme a la criticidad del servicio y la relación entre los elementos de
configuración y servicios que dependen de ellos
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Registrar los eventos. Identificar el nivel de información que
debe registrarse, conforme a una consideración de riesgo y
rendimiento.
Indicadores Asociados: a. Número de personas capacitadas para responder a los procedimientos de alarma medioambiental
b. Número de escenarios de riesgo definidos para las amenazas medioambientales
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar los desastres naturales y causados por el hombre
que podrían ocurrir en el área en la que se encuentran las
instalaciones de TI.
Evaluar el efecto potencial en las instalaciones de TI.
Página 141
2 Identificar cómo el equipo de I&T, incluido el equipo móvil y
el off-site, se protege de las amenazas medioambientales.
Asegurar que la política limita o excluye el consumo de
comida, bebida y fumar en áreas sensibles, y prohibir el
almacenamiento de artículos de papelería y otros
suministros que suponen un peligro de incendio en las salas
de ordenadores.
Indicadores Asociados: a. Tiempo transcurrido desde la última prueba del suministro de energía ininterrumpida
b. Número de personas formadas en normas de salud y seguridad
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Examinar los requisitos de protección de las instalaciones de
TI con respecto a las fluctuaciones y cortes eléctricos, junto
con otros requisitos de planificación de continuidad del
negocio. Procurar un equipo de suministro ininterrumpido
adecuado (p. ej., baterías, generadores) para respaldar la
planificación de continuación del negocio.
Página 142
3 Asegurar que las instalaciones que acogen los sistemas de
I&T cuenten con más de una fuente para las utilidades de
servicios dependientes (p. ej., electricidad,
telecomunicaciones, agua, gas). Separar la entrada física de
cada utilidad de servicio.
Página 143
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir esquemas de priorización y clasificación de
solicitudes de servicios e incidentes, y los criterios para el
registro de problemas. Usar esta información para
garantizar estrategias constantes a fin de gestionar e
informar a los usuarios sobre los problemas y llevar a cabo
análisis de tendencias.
Página 146
Regresar a Inicio
NOMBRE INSTITUCIÓN
Indicadores Asociados: a. Porcentaje de incidentes mayores para los que se registraron problemas
b. Porcentaje de incidentes resueltos conforme a los SLA acordados
c. Porcentaje de problemas identificados correctamente, incluida la clasificación, categorización y priorización de los mismos
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 dentificar problemas a través de la correlación de informes
de incidentes, registros de errores y otros recursos que
permitan la identificación de problemas.
Página 147
Fecha
Compromiso Estado Porcentaje Fecha de
Actividad Implementable Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar problemas que podrían ser errores conocidos
mediante una comparación de los datos de incidentes con la
base de datos de errores conocidos y sospechados (p. ej.,
aquellos comunicados por proveedores externos) Clasificar
los problemas como errores conocidos.
Página 148
5 Revisar y confirmar la resolución satisfactoria de problemas
mayores.
6 Asegurar que el conocimiento aprendido de la revisión se
incorpore a la reunión de revisión de servicios con el cliente
del negocio.
Página 149
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Actividad Implementable Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Compromiso
Implementación Avance Control
Implementación
1 Identificar procesos de negocio y actividades de servicio
internos y externalizados que son críticos para las
operaciones empresariales o necesarios para satisfacer las
obligaciones legales y/o contractuales.
Página 150
5 Evaluar la probabilidad de amenazas que pudieran causar la
pérdida de la continuidad del negocio. Identificar medidas
que reducirán la probabilidad y el impacto a través de una
mejor prevención y una mayor resiliencia.
Práctica de Gobierno (gestión): 03 -Desarrollar e implementar una respuesta de continuidad del neg
Indicadores Asociados: a. Número de sistemas críticos de negocio no cubiertos por el plan
b. Porcentaje de partes interesadas clave involucradas en el desarrollo de BCPs y DRPs
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir acciones y comunicaciones de respuesta a incidentes
que se deban tomar en caso de interrupción. Definir roles y
responsabilidades relacionados, incluida la rendición de
cuentas para la política y la implementación.
Página 151
Práctica de Gobierno (gestión): 04 -Realizar ejercicios, probar y revisar el plan de continuidad del negocio (BCP) y el plan de respuesta ante desastres (DRP).
Indicadores Asociados: a. Frecuencia de las pruebas
b. Número de ejercicios y pruebas que alcanzaron los objetivos de recuperación
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir objetivos para ejercitar y probar los sistemas del
negocio, técnicos, logísticos, administrativos,
procedimentales y operativos del plan para verificar la
integridad de los BCP y DRP en el cumplimiento del riesgo
del negocio.
Página 152
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Realizar formación y concienciación sobre el BCP y el DRP.
Página 153
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar el cumplimiento de los BCP y DRP documentados.
Página 154
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Instalar y activar herramientas de protección contra
software malicioso en todas las instalaciones de
procesamiento, con archivos de definición de software
malicioso que se actualizan según sea necesario
(automáticamente o semiautomáticamente)
Página 155
2 Implementar mecanismos de filtrado de red, como firewalls
y software de detección de intrusos. Hacer cumplir las
políticas adecuadas para controlar el tráfico entrante y
saliente.
Página 156
1 Mantener los derechos de acceso de los usuarios de
acuerdo con la función del negocio, los requisitos del
proceso y las políticas de seguridad. Alinear la gestión de
identidades y derechos de acceso con los roles y
responsabilidades definidos, basándose en los principios de
menor privilegio, necesidad-de-tener y necesidad-de-
conocer
Página 157
4 Restringir y monitorizar el acceso a instalaciones sensibles
de TI, mediante el establecimiento de restricciones al
perímetro, como vallas, paredes y dispositivos de seguridad
en puertas interiores y exteriores.
Página 158
4 Garantizar que se creen tickets relativos a incidentes de
seguridad de forma oportuna cuando la monitorización
identifique posibles incidentes.
Página 159
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar y documentar las actividades de control
necesarias para procesos clave del negocio para satisfacer
los requisitos de control para los objetivos estratégicos,
operativos, de reporte y de cumplimiento.
Página 160
4 Sin comprometer los niveles de autorización de la
transacción original, corregir y reenviar los datos que se
introdujeron de forma errónea.
Cuando sea adecuado para la reconstrucción, conservar
documentos fuente originales durante el periodo de tiempo
adecuado.
Página 161
7 Revisar periódicamente las definiciones de control de
acceso, los logs y los informes de excepción. Asegurar que
todos los privilegios de acceso son válidos y están alineados
con los miembros actuales del personal y sus roles
asignados.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Restringir el uso, distribución y el acceso físico a la
información de acuerdo con su clasificación.
2 Proporcionar una concienciación y formación adecuada
sobre el uso.
3 Aplicar las políticas y procedimientos de seguridad para la
clasificación y uso aceptable de datos y para proteger los
activos de información que están bajo control del negocio.
Página 162
Regresar a Inicio
NOMBRE INSTITUCIÓN
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Identificar a las partes interesadas (p. ej., dirección, dueños
del proceso y usuarios).
2 Colaborar con las partes interesadas y comunicar los
requisitos y objetivos empresariales de supervisión,
recopilación y reporte, por medio del uso de definiciones
comunes (p. ej., glosario empresarial, metadatos y
taxonomía), análisis de referencia y benchmarking.
Indicadores Asociados: a. Porcentaje de metas y métricas aprobadas por las partes interesadas.
b. Porcentaje de procesos con revisión y mejora de la efectividad de metas y métricas
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir las metas y métricas. Revisarlas periódicamente con
las partes interesadas para identificar cualquier elemento
significativo faltante y definir la razonabilidad de objetivos y
tolerancias.
Indicadores Asociados: a. Porcentaje de metas y métricas alineadas con el sistema de supervisión de la empresa
b. Porcentaje de informes de desempeño enviados conforme al plazo
c. Porcentaje de procesos con resultado asegurado en línea con los objetivos y dentro de las tolerancias
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Diseñar informes de desempeño de proceso que sean
concisos, fáciles de entender y personalizados conforme a
las distintas necesidades de la dirección y audiencias.
Facilitar una toma de decisiones efectiva y oportuna (p.ej.
cuadros de mando, informes light de semáforos).
Asegurar que la causa y el efecto entre las metas y las
métricas se comunica de forma comprensible.
NOMBRE INSTITUCIÓN
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Identificar los límites del sistema de control interno. Por
ejemplo, considerar cómo los controles internos de la
organización, tienen en cuenta las actividades de desarrollo
o producción externalizadas y/o ubicadas en otro país
(offshore, término en inglés).
Práctica de Gobierno (gestión): 02 Revisar la eficacia de los controles del proceso de negocio.
Indicadores Asociados: a. Número de debilidades identificadas por calificaciones externas e informes de certificación.
b. Número de controles supervisados y probados para garantizar que los controles de los procesos de negocio operen de forma eficaz
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Entender y priorizar el riesgo de los objetivos de la
organización.
2 Identificar controles clave y desarrollar una estrategia
adecuada para validar los controles.
3. Identificar información que indicará si un entorno de
control interno está funcionando de forma eficaz.
4 Conservar evidencias de la eficacia del control.
5 Desarrollar e implementar procedimientos rentables para
obtener esta información de acuerdo a los criterios de
calidad de la información correspondientes.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Definir una estrategia acordada y consistente para realizar
autoevaluaciones de control y coordinarse con auditores
internos y externos.
2 Mantener planes de evaluación e identificación de criterios
y alcance para llevar a cabo las autoevaluaciones. Planificar
la comunicación de
los resultados del proceso de autoevaluación al negocio, a
TI y a la dirección general y al consejo de administración.
Considerar estándares de auditoría interna en el diseño de
las autoevaluaciones.
Indicadores Asociados: a. Tiempo transcurrido entre la ocurrencia de la deficiencia de control interno y el reporte
b. Tiempo transcurrido entre la identificación de la excepción y las acciones planteadas acordadas
c. Porcentaje de implementación de acciones correctivas derivadas de las evaluaciones de control
NOMBRE INSTITUCIÓN
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Asignar la responsabilidad de identificar y supervisar los
cambios en los requisitos legales, regulatorios y otros
requisitos contractuales externos, relevantes para el uso de
recursos de TI y el procesamiento de la información dentro
de las operaciones empresariales y de TI.
Indicadores Asociados: a. Tiempo promedio entre la identificación de los problemas de cumplimiento externo y su resolución
b. Porcentaje de satisfacción del personal relevante con la comunicación de los requisitos de cumplimiento regulatorio, nuevos y modificados
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Revisar y ajustar continuamente las políticas, principios,
estándares, procedimientos y metodologías para que sean
eficaces en garantizar el cumplimiento necesario y abordar
el riesgo empresarial. Usar expertos internos y externos,
cuando sea necesario.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar regularmente las políticas, estándares,
procedimientos y metodologías organizativas en todas las
funciones de la empresa, para garantizar el cumplimiento
de todos los requisitos legales y regulatorios relevantes
relacionados con el procesamiento de la información.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Obtener confirmación periódica del cumplimiento con las
políticas internas por parte de los dueños de los procesos
de negocio y de TI y los jefes de unidades.
NOMBRE INSTITUCIÓN
Práctica de Gobierno (gestión): 01 Asegurar que los proveedores de aseguramiento sean independientes y estén cualificados
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Práctica de Gobierno (gestión): 02 Desarrollar una planificación de iniciativas de aseguramiento basada en riesgos.
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que siguen los estándares del programa y plan de aseguramiento
b. Porcentaje de iniciativas del plan de aseguramiento basadas en el riesgo.
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Indicadores Asociados: a. Número de planes de compromiso, basados en el alcance, que consideran la información a recopilar y las entrevistas a las partes interesadas
b. Porcentaje de satisfacción de las partes interesadas con el alcance de la iniciativa del aseguramiento, conforme a los objetivos de aseguramiento
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Implementación Avance Funcionarios Responsables Control Documentación de Referencia Observaciones
Implementación
1 Definir todos los componentes de gobierno en el alcance de
la revisión, es decir, los principios, políticas y marcos de
referencia; procesos; estructuras organizativas; cultura,
ética y comportamiento; información; servicios,
infraestructura y aplicaciones; personas, habilidades y
competencias
Indicadores Asociados: a. Porcentaje de controles de gestión identificados como débiles, sin prácticas definidas para reducir el riesgo residual
b. Número de controles revisados
c. Porcentaje de satisfacción de las partes interesadas con el programa de trabajo de la iniciativa de aseguramiento
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Práctica de Gobierno (gestión): 06 Ejecutar la iniciativa de aseguramiento, enfocándose en la efectividad del diseño.
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que consideran la rentabilidad del diseño
b. Porcentaje de satisfacción de las partes interesadas con el diseño de la iniciativa de aseguramiento
Indicadores Asociados: a. Porcentaje de iniciativas de aseguramiento que prueban el resultado de los objetivos clave de gestión dentro del alcance.
b. Porcentaje de satisfacción de las partes interesadas con la ejecución de la iniciativa de aseguramiento
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Evaluar si se han alcanzado los resultados esperados para
cada uno de los controles de gestión en el alcance. Es decir,
evaluar la efectividad del control de gestión (eficacia del
control).
2 Asegurar que el profesional del aseguramiento prueba el
resultado o la efectividad del control de gestión mediante
la búsqueda de evidencias directas e indirectas del impacto
en las metas de los controles de gestión. Esto implica la
justificación directa e indirecta de la contribución medible
de las metas de gestión a las metas de alineamiento y de
este modo se registran las evidencias directas e indirectas
de que se han
alcanzado realmente los resultados esperados.
Fecha
Actividad Implementable Compromiso Estado Porcentaje Funcionarios Responsables Fecha de Documentación de Referencia Observaciones
Implementación Implementación Avance Control
Fecha
Estado Porcentaje Fecha de
Actividad Implementable Compromiso Funcionarios Responsables Documentación de Referencia Observaciones
Implementación Avance Control
Implementación
1 Acordar e implementar internamente, dentro de la
organización, las acciones necesarias para resolver las
debilidades y brechas identificadas.